Súlyos hiba a WordPress népszerű bővítményében

​A WordPress-hez készült Slider Revolution bővítmény két súlyos biztonsági hiba miatt szorul frissítésre.
 

Ahogy arról a Biztonságportál Prémium oldalain már beszámoltunk az egyik nagy népszerűségnek örvendő WordPress bővítmény kapcsán két veszélyes sebezhetőségre derült fény. A több mint kilencmillió példányban működő kiegészítő jelentős támadási felületet biztosít a támadók számára, ezért különös figyelmet igényel a frissítése.
 
A Patchstack biztonsági szakértői által feltárt két biztonsági rés alapvetően XSS-típusú támadásokhoz járulhat hozzá. Az egyik hiba a bemeneti és kimeneti adatok nem megfelelő szűrésére vezethető vissza a bővítmény paraméterbeállításaival összefüggésben, míg a másikat az egyik REST API végpont hiányos adatellenőrzése okozza.
 
A sebezhetőségek következtében akár egyszerű HTTP-kérésekkel is adatlopásra nyílhat lehetőségük a támadóknak, de egyes esetekben az adatmanipuláció, valamint a jogosultsági szint emelés kockázata sem zárható ki.
 
A fejlesztők a sebezhetőségeket már orvosolták. Az előbbi hibát a bővítmény 6.7.0-ás verziójával, míg az utóbbit a 6.7.11-es verzió kiadásával szüntették meg. Ezért a kiegészítő frissítésével a sebezhetőségek méregfoga könnyedén kihúzhatóvá vált. A kockázatok csökkentése érdekében érdemes a frissítéseket mielőbb elvégezni.